Lutz Jnicke博士在菲尼克斯電氣負責安全產品和解決方案,是菲尼克斯電氣接觸系統性網絡安全保護的第一人,目前已經成為國際知名的數據安全專家。我們在一座古堡就網絡安全問題對他進行了專訪。
當數據安全的時候,就是它最好的時刻。
Q:您好,Lutz博士,我們今天的采訪是在古堡進行的,在這里安全嗎?
A:這座古堡現在應該是安全的。但在過去古堡往往也很容易被攻破。攻城者在放火后發起猛攻,甚至會挖掘地道推倒城墻。換句話說,人們通過尋找古堡的弱點來攻城掠地。在這一點上,今天和一千年前并沒有什么不同。
Q:一旦創建了安全防御,就能確保永遠安全了嗎?
A:不,這是一個持續的過程。必須事先考慮如何組織防御,以便為多種可能性做好準備,并且,防御措施要走在攻城措施的前面。在中世紀,我們可以花很多年來做這件事,但現在我們必須快速行動。
錯誤通常發生在傳統的分工合作中。在項目協同時,成功往往依靠所有同事的完美合作。一個同事的錯誤可能會引起一系列的連鎖反應。“四眼原則”則可以幫助我們有效規避這方面的問題。與傳統的城堡建筑一樣,防御概念從一開始就要傳達到位。這就是所謂的設計安全性。
Q:網絡安全遭受的威脅是否在增加?
A:這是肯定的。我們這個行業的統計數據很難獲得,但向FBI報告的美國網絡安全事件造成的損失在過去十年中增長了十倍。從2008年到2018年,損失從2億美元增長到20億美元。這些都是絕對真實的數據。
Q:是什么讓菲尼克斯電氣開始考慮安全問題?
A:2002年,在柏林有一家名為Innominate的公司,創立之初是從事移動防火墻業務,但很快就進入了工業自動化領域。菲尼克斯電氣于2008年接管了In-nominate公司。
然而,菲尼克斯電氣不能僅僅依靠防火墻,我們還需要在考慮如何確保所有過程數據的安全性。我們制定培訓計劃指導人們操作并開發相關工具。每個軟件開發人員都必須面對安全問題,并遵循一定的指導原則,人人都要有安全意識。
Q:網絡安全如何實現傳統產業和傳統信息技術的協調統一?
A:傳統產業和信息技術確實需要協調統一,但在不同領域又不完全相同。在生產領域通常沒有人負責安全,設備啟用后,沒有人考慮如何將其安全集成到網絡中,生產人員往往在意的是設備有沒有連接到控制器。因此,要實現生產網絡的安全,還有很多額外的“幕后工作”要做。但在財務控制中,我們通常僅將網絡安全問題視為成本因素。這樣考慮也不無道理,我們偶爾會因安全問題遭受非常大的經濟損失。
Q:在網絡安全方面,菲尼克斯電氣在哪些領域積極活躍?
A:菲尼克斯電氣正積極改善自己公司和客戶公司的網絡安全性。這對我們業務的發展很有幫助,加深了我們對生產領域問題的理解。而且我們新通過的TüV認證表明,我們可以勝任規劃和提供包括盤點、安裝、調試和培訓在內的所有流程的工作。
Q:在你看來,安全問題會對公司管理產生很大影響嗎?
A:原則上,可以認為大規模增長的網絡安全威脅會給公司管理帶來壓力。在供應鏈中,由于安全性日益成為供應商評估中的一個重要方面,客戶給供應鏈帶來了更大的壓力。在立法上,制定新的規則也是不可避免的。
菲尼克斯電氣在日常的不斷防御中進行自我提升,為我們的客戶和我們自己積累經驗。遭遇網絡攻擊并不意味著做得不好,但是沒有有效阻擋威脅則意味著工作做得不到位。
